Hacker utleverer ikke angrepskode

Hacker utleverer ikke angrepskode

Ber Microsoft, Apple og Adobe om å finne sine egne bugs.

Charlie Miller, den eneste som har vunnet hackerkonkurransen Pwn2own tre år på rad, nekter å overlevere 20 nye sårbarheter til Microsoft, Apple og Adobe.

Miller er rett og slett lei av den dårlige jobben som selskapene gjør innen it-sikkerhet, og vil i stedet vise programvareleverandørene hvordan de skal finne feilene selv.

- Vi finner en feil, de lapper hullet. Vi finner en ny feil, de lapper igjen. Det gjør kanskje produktet inkrementelt bedre, men de må gjøre fundamentale endringer, sa Miller under et foredrag på sikkerhetskonferansen Cansecwest.

"Dumb fuzzing"

Bare ved hjelp av noen få linjer kode har Miller laget noe som kalles en ”dumb fuzzer”, et verktøy som benyttes av mange utviklere for å teste programvare for feil. Uten tanke på hva programvaren selv forventer av input, bombarderes programmet med alle tenkelige inndata. Såkalt ”smart fuzzing” blir også brukt av testere, men her skreddersyr man testen for programmet man tester, og utelater kanskje ”dumme” testforsøk.

Men Millers ”dumb fuzzer” var ikke dummere enn at den fant 20 sårbarheter i både Apples nettleser Safari og Mac OS X 10.6 Snow Leopard, presentasjonsverktøyet Microsoft Powerpoint, pdf-leseren Adobe Reader og den gratis kontorpakken Openoffice.org.

- Folk vil kritisere meg og si det er galt ikke å gi bort sårbarhetene, men for meg er det mer fornuftig ikke å gi bort fasiten. Jeg vil heller vise selskapene hvordan jeg har funnet feilene. Kanskje det kan få dem til å bli bedre testere og lage sikrere programvare, sier Miller.

For lett

Sikkerhetsforskeren er skuffet over hvor enkelt det var å finne feilene.

- Noen vil kanskje tro dette er selvskryt, men jeg var ikke spesielt smart. Dette var helt trivielt arbeid, og likevel fant jeg disse feilene, sier han.

Dagen før brukte Miller en av sårbarhetene til å knekke sikkerheten i nettleseren Safari på en Macbook Pro. I løpet av ti sekunder sikret han seg dermed 10.000 dollar, en bærbar pc og en gratistur til hackerkonferansen Defcon i Las Vegas til sommeren.

Les saken her: Iphone, Safari, IE8 og Firefox hacket

Les om: